Hinweise zur Malware Emotet

Emotet ist eine Schadsoftware, die vor allem über E-Mails verbreitet wird. Die bösartigen E-Mails enthalten entweder einen infizierten Anhang in Form einer Datei mit Makros oder eines Skripts oder einen Link zu einer Internetseite, von der die Malware heruntergeladen wird. Häufig sind diese E-Mails als Rechnungen oder Bewerbungen getarnt, im Anhang oder hinter dem Link soll sich dann die jeweilige Rechnung oder die Bewerbungsunterlagen befinden. Öffnet der Empfänger den Anhang oder klickt auf den Link (und stimmt ggf. der Aktivierung von Makros zu), wird der Rechner infiziert.

Nach der Infektion lädt Emotet automatisch weiteren Schadcode aus dem Internet nach, der unter anderem dazu genutzt werden kann, die Kontaktdaten und Teile der bisherigen Mail-Kommunikation aus Outlook oder vergleichbaren Programmen auszulesen und an die C&C-Server (Command & Control) zu schicken, die Accounts des Benutzers zu übernehmen sowie selbst mit dem Versand von E-Mails zur Verbreitung von Emotet zu beginnen. Zudem kann eine Emotet-Infektion auch als Primärinfektion für einen gezielten Ransomware-Angriff genutzt werden.

Emotet wird fortlaufend weiterentwickelt und verändert und daher automatisiert von AntiViren-Software oft nicht sofort erkannt.

Die ausgespähten Kontaktdaten und die Teile der bestehende E-Mail-Konversationen (präziser werden die ersten 16 kB jeder Mail ausgelesen und zum Angreifer übertragen) werden genutzt, um vermeintliche Antworten auf diese Konversationen an die ursprünglichen Kommunikationspartner zu schicken mit dem Ziel, auch deren Rechner zu infizieren.

Ein Beispiel, wie solche E-Mails aussehen können, hat der CERT-Bund auf Twitter veröffentlicht:

Dieses ‘Recycling’ der ausgespähten Konversationen erfolgt zwischenzeitlich sehr zeitnah, so dass man vermeintliche Antworten auf erst vor wenigen Tagen verschickte Mails erhalten kann. Dadurch wirken diese Mails zur Malware-Verbreitung (zumindest auf den ersten Blick) authentischer, da der Adressat die ursprüngliche Konversation wiedererkennt.

Meist erkennt man solche Mails noch am fehlerhaften Absender im FROM-Feld: Der angezeigte Name ist häufig der Name des vorgeblichen Absenders (im obigen Beispiel aus der Twitter-Meldung vom CERT-Bund: Meier, Antje), jedoch stimmt die E-Mail-Adresse nicht (hier: compromised.account@extern.tld).

Bei verdächtigen E-Mails, auch wenn es sich um Antworten auf eigene E-Mails handelt, empfiehlt es sich, im Zweifelsfall Rücksprache mit dem vermeintlichen Absender zu halten. Dies gilt inbesondere, bevor man etwaige Anhänge öffnet. Ist man sich sicher, dass es sich um eine bösartige E-Mail handelt, sollte diese gelöscht werden.

RUS-CERT, Universität Stuttgart


Weitere Informationen